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Die vorliegende Erfindung betrifft ein Verfahren zur 
Obertragung von Daten, bei dem nach einera vorgebbaren 
Signaturbildungsverfahren eine erste Signatur in 
Abhangigkeit der zu ubertragenden Daten gebildet wird. Die 
erste Signatur wird zusammen mit den Daten in sogenannten 
Botschaften tibertragen. Nach dem Signaturbildungsverfahren 
wird eine zweite Signatur in Abhangigkeit von den 
iibertragenen Daten gebildet und die erste Signatur mit der 
zweiten Signatur zum Zwecke einer Signaturanalyse 
verglichen. 

Die Erfindung betrifft aufterdem ein Computerprogramm, das 
auf einem Steuergerat, insbesondere auf einer Recheneinheit 
ablauffahig ist. 

SchlieMich betrifft die vorliegende Erfindung auch ein 
Steuergerat far ein Kraf tfahrzeug. Das Steuergerat umfasst 
eine Recheneinheit, die insbesondere als ein Mikroprozessor 
ausgebildet ist, und ein Speicherelement , das insbesondere 
als ein Schreib-Lese-Speicher mit wahlfreiem Zugriff (RAM) , 
als ein Nur-Lese-Speicher (ROM) oder als ein Flash-Speicher 
(Flash-Memory) ausgebildet ist. Auf dem Speicherelement ist 
ein Computerprogramm abgelegt, das auf der Recheneinheit ' 



ablauffahig ist. 



Stand der Technik 



Aus dem Stand der Technik ist die Signaturanalyse als eine 
Methode zur Datenkomprimierung bekannt, die auf der 
sogenannten CRC (Cyclic Redundancy Check) -Methode basiert. 
In Abhangigkeit der zu ubertragenden Daten wird nach einem 
vorgebbaren Signaturbildungsverf ahren ein resultierendes 
Datenwort gebildet, welches die Signatur darstellt und den 
komprimierten Datenstrom charakterisiert . Die 
Wahrscheinlichkeit, dass trotz Fehlern in dem Datenstrom 
eine richtige Signatur gebildet wird, ist sehr gering und' 
nimmt mit der Datenbreite des Signaturwortes ab. Signaturen 
werden beispielsweise eingesetzt fur die Sicherung von 
Datenubertragungen, zur Uberwachung von Festwert speichern 
von Computern und zur Identif izierung von Datenstrdmen, wie 
zum Beispiel von digitalen Hardware-Signalen im Rahmen 
eines Tests von Schaltungen oder von Daten, die ein 
Schriftstuck enthalt . Zum Stand der Technik wird verwiesen 
auf Abramovici, Miron, et al . : Digital Systems Testing and 
Testable Design, New York, IEEE Press, 1990. 

In Hardware wird die Signatur ublicherweise seguentiell Bit 
fur Bit mit Hilfe eines linear ruckgekoppelten 
Schieberegisters (LFSR; Linear Feedback Shift Register) 
gebildet. Es ist bekannt, dieses sequentielle 
Signaturanalyse-Verf ahren auch in Software zu realisieren. 
Dieses Verfahren ist aber wegen der sequentiellen 
Arbeitsweise entweder sehr langsam oder braucht relativ 
viel Speicherplatz fur Tabellen (sogenannte Lookup-Tables), 
urn die Berechnungszeit zu verkurzen. Zum Stand der Technik 
von solchen sof twarema/Jig realisierten sequentiellen 
Verfahren zur Signaturanalyse wird auf Williams, R. N. : A 
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3 ai l Q le n« !lf t0 Err ° r DeteCtion Algorithm., Version 

3, 19.08.1993, Rocksoft Pty Ltd., Hazelwood Park 5066 

Australia, ftp://ftp.rocksoft.com/papers/crc v3.txt 
verwiesen. ~ 

Des weiteren ist ein Verfahren zur Signaturbildung mit 
exner parallelen Arbeitsweise (Datenwort far Datenwort)- 
bekannt. Dieses bekannte Verfahren arbeitet beispielsweise 
mxtHxlfe eines Signaturregisters mit mehreren Eingangen 
(MISR; Multiple Input Shift Register) . Durch die parallele 
Arbextsweise konnen zum Beispiel mit einem 32 Bit-Prozessor 
32 Bit Eingangsdaten in einem Schritt verarbeitet werden 
Exn derartiges Verfahren ist beispielsweise aus der ' 
US 5,938,784 bekannt. 

Gerade far Sicherheitsanwendungen in einem Kraftf ahrzeug 
wie beispielsweise steer-by-Wire oder autonomes Fahren 
werden f ehlertolerante und damit redundante 
Elektroniksysteme eingesetzt, die einen hohen Bedarf an 
sicherem Datenaustausch zwischen Systemen, Steuergeraten 
Rechnern und/oder Recheneinheiten haben. Diese 
Kommunikation kann in drei Kommunikationsebenen erfolgen 
Erne System-Kommunikation zwischen zwei oder mehr 
Steuergeraten erfolgt bspw. uber ein Bussystemen, wie 
beispielsweise CAN (Controller Area Network) , TTCAN (Time 
Trxggered CAN), FlexRay oder TTP/C (Time Triggered Protocol 
Class C) . Eine Steuergerate-Steuergerate-Kommunikation bzw 
eine Rechner-Rechner-Kommunikation, an der zwei 
Steuergerate bzw. Rechner beteiligt sind, erfolgt uber 
Schnittstellen, wie beispielsweise RS232, RS422, SPI 
(Serial Peripheral Interface) oder SCI (Serial 
Communications Interface) . Eine Recheneinheit- 
Recheneinheit-Kommunikation erfolgt innerhalb eines 
Steuergerates. Da bei diesen Systemen neben der Rechenzeit 
die Datenkommunikationszeit einen Engpass darstellt, ist 



eine Verwendung des MISR-Verf ahren zur Absicherung der 
vielen Datenkornmunikationen von besonderem Vorteil. Es 
reduziert die er f orderliche Rechenzeit zur Absicherung der 
Datenkommunikation bei Sender und Empfanger auf ein 
Minimum. 

Bei den bekannten Verfahren kann es - wenn auch auflerst 
selten - vorkommen, dass trotz fehlerhafter Daten innerhalb 
einer Botschaft eine fehlerfreie Signatur gebildet wird. 
Das heifit, dass die zu ubertragenden Daten und die 
ubertragenen Daten zwar nicht miteinander ubereinstimmen, 
aber dennoch die erste Signatur, welche uber die zu 
ubertragenden Daten gebildet wurde, und die zweite 
Signatur, welche uber die ubertragenen Daten gebildet 
wurde, ubereinstimmen. Dies wird als Fehlermaskierung 
bezeichnet . 

Der vorliegenden Erfindung liegt die Aufgabe zu Grunde, bei 
der Uberwachung der Obertragung von Daten ein Verfahren 
bereit zu stellen, das eine schnelle Bildung einer Signatur 
erlaubt und die Fehlermaskierungswahrscheinlichkeit 
reduziert . 

Zur Losung dieser Aufgabe schlagt die vorliegende Erfindung 
ausgehend von .dem Verfahren der eingangs genannten Art vor, 
dass die zu ubertragenden Daten invertiert werden, nach dem 
vorgebbaren Signaturbildungsverfahren in Abhangigkeit der 
Daten und der invertierten Daten die erste Signatur 
gebildet wird, die erste Signatur und die Daten ubertragen 
werden, die ubertragenen Daten invertiert ' werden, in 
Abhangigkeit dieser invertierten Daten und der ubertragenen 
Daten nach dem Signaturbildungsverfahren die zweite 
Signatur gebildet wird und die erste Signatur mit der 
zweiten Signatur verglichen wird. 



Vorteile der Erfindung 



Erf indungsgemafi wird die Signatur nicht nur uber die zu 
ubertragenden bzw'. ubertragenen Daten, sondern auch uber 
die invertierten Daten gebildet. Durch die zusatzliche 
Verarbeitung der invertierten Daten kann die 
Fehlermaskierungswahrscheinlichkeit deutlich reduziert 
werden. Der zusatzliche Aufwand fur die Verarbeitung der 
invertierten Daten ist gering, so dass nach wie vor kurze 
Rechenzeiten erzielt werden konnen. Das erf indungsgemafie 
Verfahren eignet sich deshalb insbesondere zur Anwendung in 
Sicherheitsanwendungen in einem Kraf tf ahrzeug . 

Das erfindungsgemalie Verfahren kann sowohl hardwaremaftig 
als auch sof twaremaflig realisiert sein. Die sof twaremaflige 
Realisierung hat den Vorteil geringerer Kosten und eines 
geringeren Gewichtes, da keine Hardware-Bauteile far die 
Schaltun-g erforderlich sind. Aufierdem bringt eine 
softwaremafiige Realisierung eine groflere Flexibilitat (kann 
ohne grofJen Aufwand umprogrammiert und an neue 
Anforderungen angepasst werden) . 

Gemaft einer vorteilhaf ten Weiterbildung der Erfindung wird 
vorgeschlagen, dass mittels eines Signaturregisters mit 
mehreren Eingarigen (MISR; Multiple Input Shift Register) 
die erste Signatur und/oder die zweite Signatur bit- 
parallel (wortweise) gebildet werden. Dadurch wird die 
Geschwindigkeit der Signaturbildung erhoht. 

In einer bevorzugten Ausf uhrungsf orm der Erfindung werden 
die erste Signatur und/oder die zweite Signatur uber die 
Daten mehrerer Botschaften gebildet. Es werden also nicht 
die Daten jeder ubertragene Botschaft mit einer eigenen 
Signatur individuell abgesichert, sondern es werden die 



Daten mehrerer Botschaften geiineinsam abgesichert. Damit 
wird erreicht, dass das Datenvolumen der fur die 
Signaturanalyse zu ubertragenden Daten reduziert wird. 



Dabei wird vorteilhaf terweise eine Signatur auf mehrere 
Botschaften verteilt ubertragen. Diese sogenannte Methode 
der verteilten Signaturubertragung bei der die gemeinsame 
Signatur auf die Botschaften verteilt wird, die die 
abzusichernden Daten enthalten, stellt eine zusatzliche ' 
Moglichkeit zur Reduzierung des zu ubertragenden 
Datenvolumens dar. Ein Steuergerat ubertragt beispielsweise 
auf einem CAN-Bus pro Systemzyklus drei Botschaften mit je 
maximal acht Byte, die jeweils mit einer 32 Bit-Signatur 
abgesichert werden sollen. Wenn die Daten bei der 
Empfangseinheit erst nach dem Empfang aller drei 
Botschaften weiterverarbeitet werden, macht es Sinn, die 
Daten der Botschaften nicht einzeln mit 32 Bit, sondern 
gemeinsam mit 32 Bit abzusichern und die 32 Bit (gleich 
vier Byte) Signaturdaten derart zu verteilen, dass die 
Botschaften optimal mit Daten ausgelastet sind. Hierdurch 
wird einerseits Datenvolumen fur die Datenubertragung 
reduziert (vier Byte Signatur anstatt 12 Byte Signatur) und 
andererseits ist die' ubertragene Signatur nicht so anfallig 
gegen eine Datenverf alschung (Maskierung) durch eine 
Storung, da die Signatur nicht als ein Block, sondern als 
drei Teilblocke zusammen mit den einzelnen Datenworten zu 
unterschiedlichen Zeitpunkten ubertragen wird. 

Bei sicherheitsrelevanten Systemen wie Steer-by-Wire, 
autonomes Fahren, automatische Spurfuhrung sowie Systemen 
zur Fahrdynamikregelung uber ein Verbundsystem aus Bremse, 
Lenkung, Fahrwerk und so weiter, werden aus 
Sicherheitsgrunden Mehrrechnersysteme eingesetzt. Dabei 
werden zwei, drei o'der vier Recheneinheiten pro Steuergerat 
eingesetzt. Bei Flugzeugen und in der Raumfahrt konnen 



sogar Systeme mit funf und mehr Recheneinheiten pro 
Steuergerat eingesetzt werden. Ein Grundprinzip dieser 
Mehrrechnersysteme ist, dass vor Beginn von Berechnungen 
alle Eingangsdaten unter den Recheneinheiten ausgetauscht 
und danach die Startdaten fur die Berechnung bitgenau 
abgestimmt werden (sogenanntes Eingangsvoting) . Die 
Berechnungsergebnisse werden ebenfalls zwischen alien 
Recheneinheiten ausgetauscht und auf Bitgenauigkeit 
verglichen (sogenanntes Ausgangsvoting) . 

Sind die zu ubertragenden Daten bitgenaue Eingangsdaten, 
die beispielsweise in Botschaften iiber Datenbusse zu den 
Recheneinheiten gelangen oder Berechnungsergebnisse, die 
parallel auf mehreren Rechnern 'redundant erzeugt werden, so 
werden vorzugsweise zur Uberprufung einer Ubereinstimmung 
dieser Daten lediglich die entsprechenden Signaturen 
iibertragen. 

Insbesondere unter Einsatz des besonders schnellen und 
zuverlassigen erf indungsgemaflen Verfahrens zur 
Signaturbildung kann damit das zu ubertragende Datenvolumen 
reduziert und eine Verarbeitungsgeschwindigkeit erhoht 
werden. 

Vorteilhaf terweise wird das erf indungsgemafie Verfahren zur 
Oberprufung des Speicherinhaltes eines Nur-Lese-Speicher s , 
Flash-Speichers oder eines Schreib-Lese-Speichers 
verwendet. Dies ermoglicht ein effizientes Uberprufen der 
Datenkonsistenz des Speicherinhaltes. 

Vorzugsweise werden bei dieser erf indungsgemaf3en Verwendung 
die Daten des zu uberpruf enden Speicherinhaltes invertiert, 
nach dem vorgebbaren Signaturbildungsverf ahren in 
Abhangigkeit der zu uberpruf enden Daten und der 
invertierten Daten die erste Signatur gebildet und in einem 
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Speicherbereich eines Nur-Lese-Speichers, Flash-Speichers 
Oder eines Schreib-Lese-Speichers als eine Sollsignatur 
abgespeichert . Fur eine Oberprufung der sich in dem zu 
uberprufenden Speicherbereich befindlichen Daten, werden 
diese Daten invertiert, in Abhangigkeit dieser invertierten 
Daten und der Daten nach dem Signaturbildungsverf ahren die 
zweite Signatur gebildet und mit der abgespeicherten 
Sollsignatur verglichen. Es wird also eine erste Signatur, 
die sogenannte Sollsignatur, uber einen zu uberprufenden 
Speicherinhalt einmalig erzeugt und abgespeichert. Soil 
dieser Speicherinhalt dann beispielsweise zu einem spateren 
Zeitpunkt uberpruft werden, so wird uber den aktuellen 
Speicherinhalt eine zweite Signatur erzeugt und mit der 
abgespeicherten Sollsignatur verglichen. Stimmen diese 
Signaturen nicht ' uberein, kann davon ausgegangen werden, 
dass sich der Inhalt des zu uberwachenden Speicherbereiches 
verandert hat. Dies erlaubt eine besonders effiziente 
Oberprufung eines Speicherbereiches auf Datenkonsistenz, da 
zu einer Oberprufung der Daten lediglich die Signaturen 
verglichen werden rnussen. Aufterdem muss die Sollsignatur 
nur einmal gebildet werden. 

Von besonderer Bedeutung ist die Realisierung des 
erf indungsgemafJen Verfahrens in der Form eines 
Compute rprogramms . Dabei ist das Computerprogramm auf einem 
Steuergerat, insbesondere auf einer Recheneinheit 
ablauffahig und zur Ausfuhrung des erf indungsgema/ien 
Verfahrens geeignet. In diesem Fall wird also die Erfindung 
durch das Computerprogramm realisiert, so dass dieses 
Computerprogramm in gleicher Weise die Erfindung darstellt 
wie das Verfahren, zu dessen Ausfuhrung das 
Computerprogramm geeignet ist. Das Computerprogramm ist 
vorzugsweise auf einem Speicherelement abgespeichert. Als 
Speicherelement kann insbesondere ein elektrisches 
Speichermedium zur Anwendung kommen, beispielsweise ein 
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Schreib-Lese-Speicher mit wahlfreiem Zugriff (RAM; Random- 
Access-Memory) , ein Nur-Lese-Speicher (ROM; Read-Only- 
Memory) Oder ein Flash-Speicher (Flash-Memory) . 

Als eine weitere Losung der Aufgabe der vorliegenden 

Erf indung wird ausgehend von dem Steuergerat der eingangs 

genannten Art vorgeschlagen, dass das Steuergerat zur 

Ausfuhrung des erf indungsgemaflen Verfahrens geeignet ist, 

wenn das Computerprogramm auf dem Steuergerat, insbesondere 

auf einer von dem Steuergerat umfassten Recheneinheit , 

ablauft. 

Zeichnungen 

Weitere Merkmale, Anwendungsmoglichkeiten und Vorteile der 
Erfindung ergeben sich aus der nachf olgenden Beschreibung 
von Ausf iihrungsbeispielen der Erfindung, die in den 
Zeichnungen dargestellt sind. Dabei bilden alle 
beschriebenen Oder dargestellten Merkmale. fur sich oder in 
beliebiger Kombination den Gegenstand der Erfindung, 
unabhangig von ihrer Zusammenf assung in den Patentanspruche 
oder deren Ruckbeziehung sowie unabhangig von ihrer 
Formulierung beziehungsweise Darstellung in der . 
Beschreibung beziehungsweise in den Zeichnungen. Es zeigen: 

Figur 1 ein erf indungsgemafles Steuergerat gemaft einer 
bevorzugten Ausf uhrungsf orm zur Steuerung 
und/oder Regelung einer Sicherheit sanwendung in 
•einem Kraf tf ahr zeug; 

Figur 2 ein Ablauf diagramm eines er f indungsgemaflen 
Verfahrens zur Signaturanalyse; 



Figur 3 ein Steer-by-Wire System mit zwei Steuergeraten; 
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ein Rechnersystem, das zur Abarbeitung einer in 
Software realisierten Ausfuhrungsform des 
erf indungsgemafien Verfahrens geeignet ist; 

ein Ablauf diagramm eines erf indungsgemalJen 
Signaturbildungsverf ahrens gemafl einer 
bevorzugten Ausfuhrungsform; 

Funktionsprinzip des MISR-Verf ahrens zur 
Signaturbildung in Hardware; und 

Funktionsprinzip des MISR-Verf ahrens zur ' 
Signaturbildung unter Verwendung von EXOR- 
Operatoren. 

Beschreibung der Ausf uhrungsbeispiele 

Aus dem Stand der Technik ist die Signaturanalyse als eine 
Methode zur Datenkomprimierung bekannt, die auf der 
sogenannten CRC (Cyclic Redundancy Check) -Methode basiert. 
In Abhangigkeit der zu ubertragenden Daten wird nach einem 
vorgebbaren Signaturbildungsver f ahren ein resultierendes 
Datenwort gebildet, welches die Signatur darstellt und den 
komprimierten Datenstrom charakterisiert . Die 
Wahrscheinlichkeit, dass trotz Fehlern in dem Datenstrom 
die richtige Signatur gebildet wird, ist sehr gering und 
nimmt mit der Datenbreite des Signaturwortes ab. Signaturen 
werden beispielsweise eingesetzt fur die Sicherung von 
Dateniibertragungen, zur Uberwachung von Festwertspeichern 
von Computern und zur Identif izierung von Datenstromen, wie 
zum Beispiel von digitalen Hardware-Signalen im Rahmen 
eines Tests von Schaltungen oder von Daten, die ein 
Schriftstuck enthalt . 



Figur 4 



Figur 5 



Figur 6 



Figur 7 



In Hardware wird die Signatur ublicherweise sequentiell Bit 
fur Bit mit Hilfe eines linear ruckgekoppelten 
Schieberegisters (LFSR; Linear Feedback Shift Register) 
gebildet. Es ist bekannt, dieses sequentielle 
Signaturanalyse-Verfahren auch in Software zu realisieren. 
Dieses Verfahren ist aber wegen der sequentiellen 
Arbeitsweise entweder sehr langsam oder braucht relativ 
viel Speicherplatz fur Tabellen (sogenannte Lookup-Tables), 
um die Berechnungs zeit zu verkurzen. 

Des weiteren ist ein Verfahren zur Signaturbildung mit 
einer parallelen Arbeitsweise (Datenwort fur Datenwort) 
bekannt. Dieses bekannte Verfahren arbeitet loeispielsweise 
mit Hilfe eines Signaturregisters mit mehreren Eingangen 
(MISR; Multiple Input Shift Register) . Durch die parallele 
Arbeitsweise konnen zum Beispiel mit einem 32 Bit-Prozessor 
32 Bit Eingangsdaten in einem Schritt verarbeitet werden. 

Gerade fur Sicherheit sanwendungen in einem Kraf tf ahrzeug, 
wie beispielsweise Steer-by-Wire oder autonomes Fahren, 
werden f ehlertolerante und damit redundante 
Elektroniksysteme eingesetzt/ die einen hohen Bedarf an 
sicherem Datenaustausch zwischen Systemen, Steuergeraten 
und Recheneinheiten haben. Da bei diesen Systemen neben der 
Rechenzeit die Datenkommunikationszeit • einen Engpass 
darstellt, bietet eine Verwendung des MISR-Verf ahren zur 
Absicherung der vielen Datenkommunikationen einen 
entscheidenden Vorteil. Es reduziert die erf orderliche 
Rechenzeit zur Absicherung der Datenkommunikation bei 
Sender und Empf anger auf ein Minimum. Bei den bekannten 
Verfahren kann es vorkommen, dass tfotz einer fehlerhaften 
Datenubertragung in der Empf angseinheit eine fehlerfreie 
Signatur gebildet wird. Dies wird als Fehlermas kierung 
bezeichnet . 
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Dem gegenuber hat das erf indungsgemafte Verfahren den 
Vorteil, dass die Wahrscheinlichkeit einer Fehlermaskierung 
deutlich reduziert wird. 

In Figur 1 ist ein Steuergerat SGI zum Steuern und/oder 
Regeln einer Sicherheitsanwendung 40 dargestellt. Das 
erf indungsgemafle Verfahren ist beispielsweise als ein 
Computerprogramm realisiert, das auf den Recheneinheit en 
RE1, RE 3 des Steuergerats SGI ablauft. Das Computerprogramm 
ist auf Speicherbereichen 21, 31 von Speicherelementen 20, 
30 abgespeichert, wobei die Speicherbereiche 21, 31 als 
Nur-Lese-Speicher (ROM; Read Only Memory) ausgebildet sind. 
Zur Ausfiihrung des Computerprogramms wird dieses liber die 
Datenverbindungen 25, 35 an die Recheneinheiten RE1, RE 3 
iibertragen. Ergebnisse von Berechnungen, die im Rahmen der 
Abarbeitung des Computerprogramms ermittelt werden, werden 
in umgekehrter Richtung uber die Datenleitungen 25, 35 an 
die Speicherelemente 20, 30 iibertragen und dort in den 
Speicherbereichen 22, 32 abgespeichert, die als Schreib- 
Lese-Speicher (RAM; Random Access Memory) ausgebildet sind. 

Eine mogliche Arbeitsweise des Steuergerats SGI ist 
folgende: 

Ober die Datenleitung 45 erhalt das Steuergerat SGI 
Eingangsgroften, die den Zustand der zu steuernden und/oder 
zu regelnden Sicherheitsanwendung 40 beschreiben. Diese 
Eingangsgrofien werden mindestens einer Recheneinheit RE1 
zugefiihrt. Dort wird durch eine Ausfuhrung des in dem 
Speicherbereich 21 abgespeicherten Computerprogramms eine 
erste Signatur der die Eingangsgrofien beschreibenden Daten 
erzeugt. Diese Daten werden dann zusammen mit der erzeugten 
ersten Signatur uber die Datenleitung 15 .an die 
Recheneinheit RE3 iibertragen. Dort wird anhand der 



erhaltenen Daten eine zweite Signatur erzeugt und diese mit 
der von der Recheneinheit RE1 erhaltenen ersten Signatur 
verglichen. Stimmen beide Signaturen uberein, "so wird davon 
ausgegangen, dass die von der Recheneinheit RE1 
Oubertragenen Daten und die von der Recheneinheit RE3 
erhaltenen Daten ubereinstimmen . 

In einer anderen moglichen Arbeitsweise des Steuergerats 
SGI werden die Eingangsgrofien direkt beiden Recheneinheiten 
RE1, RE 3 zugefuhrt, Beide Recheneinheiten RE1, RE3 bilden 
daraufhin eine jeweils erste Signatur, die die erhaltenen 
Eingangsgroflen charakterisieren . Uber die Datenleitung 15 
werden daraufhin die Signaturen zwischen den 
Recheneinheiten RE1 , RE3 ausgetauscht. Die so empfangenen 
Signaturen werden dann mit der selbst erzeugten ersten 
Signatur in jeder der beiden Recheneinheiten RE1, RE3 
verglichen. Stellt mindestens eine der Recheneinheiten REl, 
RE3 fest, dass die selbst erzeugte erste Signatur und die 
von der jeweils anderen Recheneinheit empfangene Signatur 
nicht ubereinstimmen, so veranlasst diese Recheneinheit, 
dass die entsprechende Anwendung oder das gesamte 
Steuergerat SGI in einen definierten Ruhezustand versetzt 
wird (fail silent)". Ein solcher Fehlerfall kann 
beispielsweise durch eine Storung der Datenleitung 15 
auftreten oder durch eine Storung einer nicht dargestellten 
Datenleitung mit zugehoriger Logik, die die EingangsgroBen 
innerhalb des Steuergerates SGI von einem Dateneingang zu - 
den Recheneinheiten REl, RE 3 ubermittelt. 

Stimmen die Signaturen der EingangsgroJien -in beiden 
Recheneinheiten REl, RE3 uberein, wo werden diese 
Eingangsgrofien entsprechend der Steuer- und Regelaufgabe 
des Steuergerates SGI weiterverarbeitet . Dabei werden 
Ergebnisdaten erzeugt, die zur Steuerung und/oder Regelung 
der Sicherheitsanwendung 40 benotigt werden. 



Anhand'der in den Recheneinheiten RE1, RE3 erzeugten 
Ergebnisdaten wird in den Recheneinheiten RE1, RE3 jeweils 
eine erste Signatur erzeugt. Diese ersten Signaturen werden 
dann uber die Datenleitung 15 mit der jeweils anderen 
Recheneinheit ausgetauscht . Jede Recheneinheit RE1, RE3 
vergleicht daraufhin die so erhaltene Signatur mit der 
zuvor berechneten ersten Signatur. Stimmen beide Signaturen 
nicht iiberein, so wird davon ausgegangen, dass ein 
Obertragungsf ehler der Signaturen oder ein 
Berechnungsf ehler der Ergebnisdaten in mindestens einer 
Recheneinheit vorliegt und es werden entsprechende 
MaJinahmen (bspw. Neuberechnung oder fail silent) 
veranlasst. 

Stimmen die selbst berechnete und die ubertragene Signatur 
bei beiden Recheneinheiten RE1, RE3 iiberein, so veranlasst 
das Steuergerat SGI, dass diese Ergebnisdaten zur Steuerung 
der Sicherheitsanwendung 40 an diese mittels der 
Datenleitung 45 ubertragen werden. Ebenfalls wird die 
dazugehorige Signatur als eine erste Signatur an die 
Sicherheitsanwendung 40 ubermittelt. Dabei kann die 
Signatur als ' eigenstandige Botschaft ubermittelt werden 
oder uber mehrere Botschaften verteilt' werden, 
beispielsweise, wenn die durch die Signatur 
charakterisierten Ergebnisdaten selbst auch uber mehrere 
Botschaften verteilt- ubermittelt werden. Somit wird das 
Datenvolumen der zu ubertragenden Daten verringert und eine 
Storanf alligkeit der ubertragenden Daten - reduziert . 

Figur 2 zeigt ein Ablauf diagramm eines erf indungsgemaften 
Verfahrens zur Signaturanalyse . Hierbei wird davon 
ausgegangen, dass eine Recheneinheit RE1 eines 
Steuergerates SGI einer anderen Recheneinheit RE2, die 
Bestandteil eines anderen Steuergerates SG2 ist, Daten 



ubermittelt und in der Recheneinheit RE2 mittels einer 
Signaturanalyse gepruft werden soli, ob ein 
Ubertragungsf ehler vorliegt. 

Dazu wird in einem Schritt 90 das Verfahren gestartet . In 
einem Schritt 91 erzeugt die erste Recheneinheit RE1 in 
Abhangigkeit der zu ubermittelnden Daten D eine erste 
Signatur S. Dazu wird ein vorgebbares 

Signaturbildungsverfahren SBV verwendet. In einem Schritt 
92 werden diese Daten zusammen mit der ersten Signatur S 
mittels geeigneter Botschaften an die zweite Recheneinheit 
RE2 ubermittelt. Dort wird in einem Schritt 93 anhand der 
ubermittelten Daten D' ebenfalls gemaJS des 
Signaturbildungsverfahrens SBV eine zweite Signatur S' 
erzeugt. In einem Abf rageschritt 94 werden in der 
Recheneinheit RE2 die Signaturen S, S 7 auf Ubereinstimmung 
gepruft. Stimmen diese Signaturen S, S' uberein, so wird 
davon ausgegangen, dass kein Ubertragungsf ehler vorliegt 
und das Verfahren in Schritt 96 beendet. Unterscheiden sich 
jedoch die Signaturen S, S', so wird auf eine Storung der 
Datenubertragung geschlossen und in einem Schritt 95 ein 
Verfahren gestartet, das die zugrunde liegende 
Sicherheitsanwendung in einen definierten -Ruhezustand 
uberfuhrt (fail silent) . Anschliefiend endet das Verfahren 
in Schritt 96. 

Figur 3 zeigt eine Sicherheitsanwendung 40, die mit zwei 
Steuergeraten SGI, SG2 betrieben wird. Dabei entsprechen 
die in Figur 1 vorhandenen Elemente den in Figur 3 
dargestellten Elementen mit denselben Bezugszeichen . In 
Figur 3 ist zusatzlich das Steuergerat SG2 gezeigt, das 
zwei Recheneinheiten RE2 , RE4 umfasst, die uber eine 
Datenleitung 515 miteinander verbunden sind. Die 
Recheiheinheit RE2 ist mittels einer Datenleitung 525 mit 
einem Speicherelement 520 und die Recheneinheit RE 4 ist' 



mittels einer Datenleitung 535 mit einem Speicherelement 
530 verbunden. Aufterdem ist die Recheneinheit RE1 des 
Steuergerates SGI mit der Recheneinheit RE2 des 
Steuergerates SG2 uber die Datenleitung 4 6 verbunden. 
Analog dazu verbindet die Datenleitung 47 die Recheneinheit 
RE3 mit der Recheneinheit RE4 - 

Ein Anwendungsbeispiel ist ein Steer-by-Wire System, bei 
dem mittels eines an einem Lenkrad 60 angebrachten 
Absolutwinkelgebers 61 ein Lenkwunsch eines Fahrers erkannt 
und mittels einer Datenleitung 45 dem Steuergerat SGI 
zugefuhrt wird und durch das zweite Steuergerat SG2 eine 
hydraulische Lenkvorrichtung 70 gesteuert wird, die ein 
Einlenken der Rader 71 bewirkt. 

Fur die sichere Datenubertragung zwischen den Steuergeraten 
SGI, SG2 sind die beiden redundanten Datenleitungen 46, 47 
beispielsweise als CAN, TTCAN oder FlexRay realisiert. Fur 
eine Kommunikation zwischen Steuergerat SGI und Steuergerat 
SG2 werden pro Regelzyklus mehrere Botschaften 
ausgetauscht, die beispielsweise Messgroften, Stellgrofien 
und Statusinf ormationen enthalten. 

Wird uber die Datenleitung 45 ein Lenkbefehl ubermittelt, 
so wird mit den dadurch iibermittelten Daten wie in dem in 
Figur 1 beschriebenen Verfahren in den Recheneinheiten RE1, 
RE3- des Steuergerates SGI eine Signaturanalyse 
durchgefuhrt . Anschliefiend werden die Daten entsprechend 
von in den Speicherelementen 20, 30 abgespeicherten 
Computerprogrammen verarbeitet. Die damit erzeugten 
Ergebnisdaten werden wieder der bereits in Figur 1 
dargestellten Signaturanalyse bezQglich der Recheneinheiten 
RE1, RE3 unterzogen. Wird dabei kein Obertragungs- oder 
Rechenfehler erkannt, so ubermitteln die Recheneinheiten 
RE1, RE3 mittels der redundant ausgelegten Datenleitungen 



46, 47 die Ergebnisdaten an die Recheneinheiten RE2 , re 4 
des. Steuergerats SG2 . Dabei wird auch hier zusammen mit den 
Daten die entsprechende erste Signatur ubermittelt. 

Die Recheneinheiten RE2, RE 4 bilden nun ihrerseits 
unabhangig voneinander anhand der jeweils erhaltenen Daten 
eine zweite Signatur und vergleichen diese mit der 
iibermittelten ersten Signatur, urn eine Storung der Daten 
wahrend der Obertragung von dem Steuergerat SGI zu dem 
Steuergerat SG2 zu erkennen. 

In Figur 4 ist ein Rechnersystem 2 schematisch dargestellt, 
das eine Recheneinheit RE1 und einen Nur-Lese-Speicher 21 
umfasst. Die ' Recheneinheit RE1 umfasst eine sogenannte ALU 

(Arithmetic-Logic-Unit) 80 und mehrere Register FR, 
Rom_Adr, Sx, Dx, Gx zur Speicherung von Adressen und Daten. 
AuUerdem verfugt die Recheneinheit RE1 iiber ein sogenanntes 
Carry-Flag CF, das durch einen 1-bit breiten Bereich des 
Flag-Registers FR realisiert ist. Ober eine Adressleitung 
25a und eine Datenleitung 25b sind die Recheneinheit RE1 
und der Nur-Lese-Speicher 21 verbunden. Der Nur-Lese- 
Speicher 21 umfasst adressierbare Bereiche zur Speicherung 
von Daten, von denen aus Grunden der Ubersichtlichkeit in 
Figur 4 nur drei Bereiche dargestellt und mit den 
Bezugszeichen Al, A2, A3 versehen sind. 

Eine auf dem Rechnersystem 2 ablaufende Signaturbildung, 
eines erf indungsgemaften Verfahrens, wie es beispielsweise 
in den Figuren 1, 3 dargestellt ist, ist mittels eines 
Ablaufdiagramms in Figur 5 beschrieben. Das Verfahren 
beginnt in einem Schritt 100. In einem Schritt 101 wird ein 
Adressregister Rom_Adr mit einer Adresse geladen, die auf 
einen adressierbaren Bereich Al des Nur-Lese-Speichers 21 
verweist. In einem Schritt 102 wird ein Signaturregister Sx 
mit dem Wert null initialisiert . Das Verfahren ist so 
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ausgelegt, das sich bei Beenden des Verfahrens in dem 
Signaturregister Sx die berechnete Signatur befindet. In 
einem Schritt 103 wird ein Generatorpolynom, das geeignet 
ist/ uber einer Menge von Daten eine diese Daten 
charakterisierende Signatur zu bilden, in das Register Gx 
geladen. 

In einem Schritt 104 wird der Speicherinhalt Al, der sich 
unter' der in dem Adressregister Rom_Adr gespeicherten 
Adresse in dem Nur-Lese-Speicher 21 befindet, in das 
Register Dx der Recheneinheit RE1 geladen. Dazu- wird die ir 
dem Register Rom__Adr gespeicherte Adresse, die 
beispielsweise auf den Speicherbereich Al verweist, uber 
die Adressleitung 25a dem Nur-Lese-Speicher 21 ubermittelt. 
Dieser sendet dann die sich in dem entsprechenden 
Speicherbereich Al befindlichen Daten mittels der 
Datenleitung 25b an die Recheneinheit RE1, wo sie in dem 
Register Dx abgelegt werden. Das Adressregister Rom_Adr 
wird daraufhin in einem Schritt 105 urn eine Datenadresse 
erhoht/ 

In einem Schritt 106 wird der Inhalt des Signaturregisters 
Sx urn eine Stelle (entspricht einem Bit) nach links 
verschoben (left-shift) . Dabei wird eine Schreibweise fur 
Binardaten zugrunde gelegt, bei der das hochstwertige Bit, 
das sogenannte MSB (Most Significant Bit), stets links 
notiert wird. Dieser left-shift innerhalb des 
Signaturregisters Sx bewirkt, dass das MSB aus dem 
entsprechenden Datenwort herausfallt und in dem Carry-Flag 
CF abgelegt wird. 

In einem Schritt 107 wird mittels der ALU 80 ein EXOR- 
Operator auf das Datenregister Dx und das Signaturregister 
Sx angewendet und das Ergebnis in dem Signaturregister Sx 
abgelegt. In einem Abf rageschritt 108 wird uberpruft, ob 
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der in dem Carry-Flag CF abgelegte Wert MSB gleich 1 1st. 
1st dies nicht der Fall, so wird zu einem Schritt 110 
verzweigt. Gilt aber MSB = 1, so wird in einem Schritt 109 
das in dem Register Gx abgelegte Generatorpolynom von dem 
aktuellen Wert des Signaturregisters Sx subtrahiert, was' 
mittels einer EXOR-Operation in der ALU 80 erreicht wird. 

In dem folgenden Schritt 110 wird nun der Inhalt des 
Datenregisters Dx invertiert. Darauf.hin wird in dem Schritt 
111 der Inhalt des Signaturregisters Sx erneut urn ein Bit 
nach links geschoben und das herausf allende Bit wird dabei 
als MSB in dem Carry-Flag CF abgelegt, wobei der bisher 
dort gespeicherte Wert uberschrieben wird. In Schritt 112 
wird mittels der ALU 80 der EXOR-Operator wieder auf das 
Datenregister Dx und das Signaturregister Sx angewendet und 
das Ergebnis in dem Signaturregister Sx abgelegt . 

In einem Abf rageschritt 113 wird analog zu Schritt 108 
uberpriift,' ob der in dem Carry-Flag CF abgelegte Wert MSB 
gleich eins ist. 1st dies nicht der Fall, so wird zu einem ' 
Abf rageschritt 115 verzweigt. Gilt aber MSB = 1, so wird in 
einem Schritt 114 das in dem Register Gx abgelegte 
Generatorpolynom von dem aktuellen Wert des 
Signaturregisters Sx subtrahiert, was wieder mittels der 
EXOR-Operation in der ALU 80 erreicht wird. 
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In dem Abf rageschritt 115 wird iiberprUft, ob ein Ende des 
Datenwortes, uber das die Sighatur gebildet wird, bereits 
erreicht ist. Ist dies nicht der Fall, so wird das 
Verfahren an dem Schritt 104 fortgesetzt. 1st das Ende des 
Datenwortes erreicht, so endet das Verfahren, wobei sich 
nun in dem Signaturregister Sx die erzeugte Signatur 
befindet. 



Das erfindungsgemafl vorgeschlagene Sof tware-Verfahren zur 



Signaturbildung arbeitet nach dern sogenannten .. MISR 
(Multiple-Input Signature Register ) -Verfahren . Es bildet 
das an sich in Hardware bekannte Verfahren in Software ab. 

In Figur 6 ist ein Funktionsprinzip des MISR-Verf ahrens in 
Hardware fur Datenworte von 5 Bit Breite (DO bis D4 ) 
dargestellt. SRBO bis SRB4 stellen 5 Bitspeicher 
(FlipFlops) des ruckgekoppelten Schieberegisters zur 
Signaturbildung dar. An jedem Bitspeicher-Eingang sitzt ein 
Modulo-2-Addierer ( + ) mit zwei oder drei Eingangen. An dem 
ersten Eingang des Addierers liegt ein Bit des zu 
komprimierenden Datenwortes D (Di), an dem zweiten Eingang 
liegt der Ausgang des davor liegenden Bitspeichers SRB 
(SRBi-i) und an dem dritten Eingang liegt gegebenenf alls der 
Ausgang des hochsten Bitspeichers SRB 4 des 
Schieberegisters . 

In dem vorliegenden Fall, indem die Datenworte binar 
codiert sind, wird durch einen Modulo-2-Addierer der Rest 
der Division ( D± + SRBi-i + SRB 4 ) /2 beziehungsweise der 
Division (Di + SRBi-i) /2 gebildet. Das gesamte 
Signaturregister Sx bildet ebenfalls einen Restwert. Der 
gesamte Eingangsdatenblock, der aus Datenworten mit einer 
Lange von 5 Bit besteht, kann vereinfacht als ein 
sequentieller Datenstrom betrachtet werden, der durch einen 
Wert, das Divisor-Polynom, dividiert wird. Der Rest dieser - 
Division befindet sich anschliefiend in dem Signaturregister 
Sx . 

Mathematisch kann die Arbeitsweise von Signaturregistern 
durch die Polynomdarstellung von Binarzahlen beschrieben 
werden; Fur die Polynomdarstellung einer Binarzahl werden 
die 1-Ziffern in der Binarzahl durch entsprechende Terme x n 
ersetzt, wobei der Exponent n der Stellen-Wertigkeit der 
entsprechenden 1 entspricht. Dem Divisorpolynom 



G (x)=x 5 +x 3 +x 1 +x° in Figur 6 entspricht die Binarzahl 1O1011. 
Da ein Divisorpolynom auUer zur Datenkomprimierung auch zur 
Datengeneration verwendet werden kann, wird das 
Divisorpolynom auch Generatorpolynom G(x) genannt . Ebenso 
kann der Eingangsdatenstrom als Polynom D(x) und der Inhalt 
des Signaturregisters als Polynom S(x) dargestellt werden. 

In dem Signaturregister Sx wird die Division durch das 
Divisorpolynom durch wiederholte Subtraktion des 
Divisorpolynom-Wertes von dem Schieberegister-Inhalt 
vorgenommen. Jedes mal wenn aus dem hdchsten Bitspeicher 
SRB4 der Wert 1 herausgeschoben wird und somit in einem 
langeren Schieberegister der Term x 5 in dem nicht 
vorhandenen Bitspeicher SRB5 (entsprechend dem Carry-Flag 
CF in Figur 4, 5) gesetzt wiirde, wird der in dem 
Schieberegister gespeicherte Wert urn x^x^x'+x 0 verringert . 
Das Herausschieben aus SRB4 verringert urn x 5 , die 
Ruckkopplung uber die Modulo-2-Addierer verringert den 
Schieberegister-Wert urn x 3 +x l +x° f weil die Modulo-2-Addition 
in diesem Fall einer Modulo-2-Subtraktion entspricht. Die 
Hardware-Darstellung des Divisorpolynoms wird durch die 
Ruckkopplungspfade von dem hochsten Bit des 
Schieberegisters zu den Modulo-2-Addierern gebildet. 

In Figur 6 sind die Modulo-2-Addierer vor folgenden 
Bitspeichern. mit SRB4 verbunden: SRB3 , SRB1, SRBO. Das 
zugehorige Polynom lautet x 5 +x 3 +x 1 +x°. Der Term x 5 mit dem 
Exponent 5 (entsprechend der Lange des Schieberegisters + 
1) ist enthalten, weil das hSchstwertige Bit MSB 
hinausgeschoben und damit subtrahiert wird. Mathematisch 
lasst sich zeigen, dass der in dem Signaturregister 
verbleibende Rest dem Rest entspricht, der durch die 
Division- des Datenstroms D(x) durch das Generatorpolynom 
G(x) entsteht. 
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Nachfolgend wird mittels einer rekursiven Funktion gezeigt, 
welche mathematischen Operationen zur Bildung der Signatur 
S(x) in dem Signaturregister erforderlich sind. Es 
bezeichnet : 

Si(x): aktueller Wert des Signaturregisters; 

Si+i(x): nSchster Wert des Signaturregisters nach der 

Verarbeitung des Datenworts; und 
Di(x): aktueller Wert des Datenregisters . 

Die Signatur nach dem i-ten Verarbeitungszyklus ist dann: 

00 = [D, (x) + xS, (jc)]mod G(x) 

Die Multiplikation der Signatur Si(x) mit stellt das 
Schieben des Schieberegisters um eine Bitposition nach 
links dar (left shift) . Das Zeichen „+" ist eine Modulo-2- 
Addition beziehungsweise Subtraktion des Signaturregisters 
mit dem aktuellen Datenwort. Der Begriff raodG(x) bedeutet, 
dass in dem Signaturregister immer der Rest bezuglich der 
Division S(x)/G(x) steht . Dies wird in der Hardware-Losung, 
wie schon beschrieben, dadurch erreicht, dass immer dann, 
wenn das hochste Bit in dem Schieberegister = 1 ist, das 
Generatorpolynom G(x) von dem Wert Si(x) des • 
Schieberegisters abgezogen . wird. 

Bei einer Sof tware-Realisierung des MISR-Verf ahrens , wie es 
beispielsweise in Figur 5 dargestellt ist, konnen die 
Modulo-2-Addierer gemafi Figur 7 als EXOR-Operationen 
realisiert sein. An den Stellen, wo zwei Bits zu addieren 
sind, ist eine EXOR-Operation vorgesehen, an den Stellen, 
wo drei Bits zu addieren sind, wird dies durch zwei 
aufeinanderfolgende EXOR-Operationen durchgef uhrt . Die 
Hardware-Darstellung kann in Software umgesetzt werden, 
indem folgende Schritte fur jedes zu verarbeitende 



23 



Datenwort D durchgef uhrt werden. 

1- Der Anfangsinhalt des Signaturregisters sei 00000. 

2. Schiebe den Inhalt des Signaturregisters urn eine 
Position nach links. Mathematisch bedeutet dies di 
Multiplikation des Signaturregisterwertes mit x, 
also Si+i(x) = xSi(x). 

3. Bilde EXOR aus aktuellem einzulesendem Datenwort 
Di(x) und dem Inhalt des Signaturregisters S(x), 
also S i+ i (x) =Di (x) +xSi (x) . 

4. Falls SRB4=1: Bilde EXOR aus Signaturregister S (x) 
und Generatorpolynom G(x). Damit ist S i+ i(x) = 
S i+ i(x)+G(x) = [Di(x)+xSi(x) ]modG(x) . 

Die beschriebenen Signaturbildung uber einen ROM-Speicher 
kann auf jedem beliebigen Rechengerat realisiert werden.. 
Wie bereits erwahnt, werden zur Realisierung dieses 
Signatu'rbildungsverf ahrens auf einem Prozessor vier 
Register benotigt: 

ROM_Adr als Adressregister fur das ROM; 

Dx sis Register fur das aktuelle zu verarbeitende 

Datenwort; 
Sx .als Signaturregister; und 

G * als Register fur die Speicherung des 



Der symbolische Programmablauf in Assembler ist dann wie 
folgt: 



Generatorpolynoms . 



Start: 



Lade R0M_Adr mit' Anf angsadresse des ROM 

Lade Sx mit 0 (So(x)=0) 

Lade Gx mit Generatorpolynom 

Lade Dx mit Inhalt von ROM_Adr 

Erhohe ROM Adr urn 1 



Init : 



Loop : 




Schiebe Sx um 1 Bit nach links, hochstes Bit in 
Carry-Bit (xS(x)) 

Bilde EXOR Dx mit Sx (D (x) +xS (x) ) 

Wenn Carry-Bit gesetzt, bilde EXOR Sx mit Gx 

( [D(x) +xS (x) ]modG(x) ) 

Vergleiche ROM_Adr mit Endadresse ROME 
Wenn ungleich, gehe zu Loop 
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Anspruche 

1. Verfahren zur Obertragung von Daten (D) , bei dem nach 
einem vorgebbaren Signaturbildungsverf ahren (SBV) eine 
erste Signatur (S) in Abhangigkeit der zu ubertragenden 
Daten (D) gebildet, die erste Signatur (S) zusammen mit den 
Daten (D) in sogenannten Botschaften ubertragen, nach dem 
Signaturbildungsverf ahren eine zweite Signatur (S' ) in 
Abhangigkeit von den ubertragenen Daten (D' ) gebildet und 
die erste Signatur (S) mit der zweiten Signatur (S') 
verglichen wird, dadurch gekennzeichnet, dass die zu 
ubertragenden Daten (D) invertiert werden, nach dem 
vo,rgebbaren Signaturbildungsverf ahren (SBV) in Abhangigkeit 
der zu ubertragendenden Daten (D) und der invertierten 
Daten (D±) die erste Signatur (S) gebildet wird, die erste 
Signatur (S) und die Daten (D) ubertragen werden, die 
ubertragenen Daten (D' ) invertiert werden, in Abhangigkeit 
dieser invertierten Daten (Di/) und der ubertragenen Daten 
(D') nach dem Signaturbildungsverf ahren (SBV) die zweite 
Signatur (S' ) gebildet wird und die erste Signatur (S) mit 
der zweiten Signatur (S') verglichen wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet , 
dass mittels" eines Signaturregisters (Sx) mit mehreren 
Eingangeri (MISR; Multiple Input Shift Register) die erste 
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Signatur (S) unci/oder die zweite Signatur (S' ) bit-parallel 
(wortweise) gebildet werden. 

3. Verfahren nach Anspruch 1 oder 2, dadurch 
gekennzeichnet, dass die erste Signatur (S) und/oder die 
zweite Signatur (S' ) liber mehrere Botschaften gebildet 
werden. 

4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, 
dass .eine Signatur (S) auf mehrere Botschaften verteilt 
ubertragen wird. 

5. Verfahren nach einem der Anspruche 1 bis 4, wobei die 
zu ubertragenden Daten (D) bitgenaue Eingangsdaten sind, 
die beispielsweise in Botschaften iiber' Datenbusse zu den 
Recheneinheiten gelangen, oder Berechnungsergebnisse sind, 
die parallel auf mehreren Rechnern redundant erzeugt 
werden, dadurch gekennzeichnet, dass zur Uberpruf ung einer 
Ubereinstimmung dieser Daten (D) lediglich die 
entsprechenden Signaturen (S) ubertragen werden. 

6. Verwendung eines Verfahrens nach einem der Anspruche 1 
bis 5, dadurch gekennzeichnet, dass das erf indungsgemafie 
Verfahren zur Uberprufung des Inhaltes eines 
Speicherbereiches eines Nur-Lese-Speichers (21), Flash- 
Speichers oder eines Schreib-Lese-Speichers (22) eingesetzt 
wird. 

7.. Verwendung nach Anspruch 6 dadurch gekennzeichnet, 
dass die Daten (D) des zu uberpruf enden Speicherinhaltes 
invertiert werden, nach dern vorgebbaren 

Signaturbildungsverf ahren (SBV) in Abhangigkeit der zu 
uberpruf enden Daten (D) und der invertierten Daten (D±) 
eine erste Signatur (S) gebildet und in einem 
Speicherbereich eines Nur-Lese-Speichers (21), Flash- 
Speichers oder eines Schreib-Lese-Speichers (22) als eine 
Sollsignatur abgespeichert wird und dass fur eine 



Oberprufung der sich in dem zu uberpruf enden 
Speicherbereich befindlichen Daten (D' ) , die Daten (D' ) 
invertiert werden, in Abhangigkeit dieser invertierten 
Daten {D± f ) und der Daten (D') nach dem 

Signaturbildungsverfahren (SBV) die zweite Signatur (S') 
gebildet wird und mit der Sollsignatur (S) verglichen wird. 

8 . Computerprogramm, das auf einem Rechengerat oder einem 
Steuergerat (SGI, SG2 ) , insbesondere auf einer 
Recheneinheit (RE1, RE2 , RE3 , RE4 ) , ablauffahig ist, 
dadurch gekennzeichnet, dass das Computerprogramm zur 
Ausfiihrung eines Verfahrens nach einem der Anspruche 1 bis 

5 geeignet ist, wenn es auf einer Recheneinheit (RE1, RE2, 
RE3, RE4) ablauft. 

9. Computerprogramm nach Anspruch 8, dadurch 
gekennzeichnet , dass das Computerprogramm auf einem 
Speicherelement ((20, 30), insbesondere auf einem Schreib- 
Lese-Speicher mit wahlfreiem Zugriff (RAM; .Random-Access- 
Memory) (22, 32)., einem Nur-Lese-Speicher (ROM; Read-Only- 
Memory) (21, 31) Oder einem Flash-Speicher (Flash-Memory), 
abgelegt ist. 

10. Steuergerat ' (SGI) fur ein Kraf t f ahr zeug, umfassend 
mindestens eine Recheneinheit (RE1) und ein Speicherelement 
(20), auf dem ein Computerprogramm abgelegt ist, das auf 
der Recheneinheit RE1 ablauffahig. ist, dadurch 
gekennzeichnet, dass das Steuergerat (SGI) zur Ausfiihrung 
eines Verfahrens nach einem der Anspruche 1 bis 5 geeignet 
ist, wenn das Computerprogramm auf der Recheneinheit (RED 
ablauf t . 
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100 



Start 



101 
102 
103' 




Lade Adressregister mit ROM-Anfongsadresse 

i 



Lode Signaturregister mit Anfongswert 0 



i 



Lade Generatorregister mit Generotarpolynom 



104- 
105- 

106 
107- 



Lade Speicherinhalt in Datenregister 

i 



Erhohe Adressregister um 1 Datenodresse I 
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Schiebe Signaturregister um 1 Bit nach links, 
Schiebe MSB in dos Carry-Flog 
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EXOR Datenregister mit Signaturregister | 
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nein 



EXOR Signat urregister mil Generatorpolynom-Register I 



invertiere den Speicherinhalt im Datenregister j 
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Schiebe Signaturregister um 1 Bit noch finks, 
Schiebe MSB in das Carry-Flog 
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EXOR Datenregister mit Signaturregister j 
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R. 41393 



07.11.2002 

1. Robert Bosch GmbH, 70442 Stuttgart 

2. ZF Lenksyst erne GmbH, Richard-Bullinger-Str . 77 
73527 Schwabisch Gmund 

Verf ahren • zur Ubertraqunq von Paten 

Zusammenf assung 

Die Erfindung betrifft ein Verfahren zur Obertragung von 
Daten, bei dem nach einqm vorgebbaren 

Signaturbildungsverf ahren (SBV) eine erste Signatur (S) in. 
Abhangigkeit der zu iibertragenden Daten (D) gebildet, die 
erste Signatur (S) zusammen mit den Daten (D) libertragen, 
nach dem Signaturbildungsverf ahren eine zweite Signatur 
(S') in Abhangigkeit von den libertragenen Daten (D' ) 
gebildet und die erste Signatur (S) mit der zweiten 
Signatur (S' ) verglichen wird. Urn bei der Uberwachung der 
Obertragung der Daten (D) mittels Signaturanalyse die 
Fehlermaskierungswahrscheinlichkeit zu reduzieren, wird 
vorgeschlagen, dass die zu iibertragenden Daten (D) 
invertiert werden, riach dem vorgebbaren 

Signaturbildungsverf ahren (SBV) in Abhangigkeit der zu 
ubertragendenden Daten (D) und der invertierten Daten (D±) 
die erste Signatur (S) gebildet wird, die erste Signatur 
(S) und die Daten (D) iibertragen werden, die libertragenen 
Daten (D' ) invertiert werden, in Abhangigkeit dieser 
invertierten Daten (Dj/ ) und der libertragenen Daten (D' ) 
nach dem Signaturbildungsverf ahren (SBV) die zweite 
Signatur (S') gebildet wird und die erste Signatur (S) mit 
der zweiten Signatur (S 7 ) verglichen wird. Figur 2 
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90- — Stort ) 
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In RE1: 

Bilde erste Signotur S 
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Ubertragung von RE1 nach RE2 
0. S-h-D'.S 
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In RE2: 

Bilde zweite Signatur S 1 




fail silent 
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Fig. 2 



